序論：寫(xiě)作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了七篇安全網(wǎng)絡(luò)建設(shè)范文，愿它們成為您寫(xiě)作過(guò)程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

為進(jìn)一步做好全區(qū)食品藥品安全監(jiān)管工作，不斷提高公眾飲食及用藥安全，區(qū)人民政府決定進(jìn)一步加強(qiáng)全區(qū)食品藥品安全網(wǎng)絡(luò)建設(shè)。現(xiàn)將有關(guān)事項(xiàng)通知如下：

一、指導(dǎo)思想

堅(jiān)持以“三個(gè)代表”重要思想為指導(dǎo)，以科學(xué)發(fā)展觀(guān)為統(tǒng)領(lǐng)，建立健全規(guī)范化的食品藥品安全監(jiān)管網(wǎng)絡(luò)和供應(yīng)網(wǎng)絡(luò)。按照“全區(qū)統(tǒng)一領(lǐng)導(dǎo)、地方政府負(fù)責(zé)、部門(mén)協(xié)調(diào)配合、各方聯(lián)合行動(dòng)”的工作方針和“上下聯(lián)動(dòng)、條塊結(jié)合、突出重點(diǎn)、綜合治理”的工作思路，充分發(fā)揮政府主導(dǎo)作用，整合監(jiān)管資源，創(chuàng)新食品藥品安全監(jiān)管工作思路、方法和機(jī)制，著力構(gòu)建覆蓋廣泛、監(jiān)管有力、運(yùn)轉(zhuǎn)協(xié)調(diào)的食品藥品安全監(jiān)管機(jī)制。進(jìn)一步規(guī)范全區(qū)食品藥品市場(chǎng)秩序，確保廣大人民群眾飲食及用藥安全、有效、方便、放心。

二、工作目標(biāo)

㈠加強(qiáng)全區(qū)食品藥品安全監(jiān)管網(wǎng)絡(luò)建設(shè)，建立以區(qū)食品藥品監(jiān)管部門(mén)為主，鎮(zhèn)（街）食品藥品協(xié)管員，村（居）食品藥品信息員為輔的區(qū)、鎮(zhèn)（街）、村（居）三級(jí)食品藥品安全監(jiān)管網(wǎng)絡(luò)。㈡落實(shí)食品藥品安全責(zé)任，使監(jiān)管網(wǎng)絡(luò)覆蓋全區(qū)所有鎮(zhèn)和村，實(shí)現(xiàn)全方位監(jiān)管、無(wú)縫隙覆蓋、高質(zhì)量運(yùn)行。到年底，健全三級(jí)食品藥品安全監(jiān)管網(wǎng)絡(luò)，監(jiān)管網(wǎng)絡(luò)要覆蓋轄區(qū)所有鎮(zhèn)（街）和村（居）。

三、工作重點(diǎn)

㈠加強(qiáng)食品藥品安全監(jiān)管網(wǎng)絡(luò)建設(shè)。建立健全以政府為核心、行政監(jiān)管部門(mén)為主體、鎮(zhèn)（街）協(xié)管隊(duì)伍為基礎(chǔ)、村（居）級(jí)信息人員為補(bǔ)充的三級(jí)食品藥品監(jiān)管體系。各鎮(zhèn)（街）成立領(lǐng)導(dǎo)機(jī)構(gòu)，并在現(xiàn)有鎮(zhèn)（街）干部中配備專(zhuān)（兼）職干部，負(fù)責(zé)食品藥品具體協(xié)管工作；在每個(gè)村（居）確定1名以上信息員，負(fù)責(zé)收集農(nóng)村食品藥品監(jiān)管信息，確保領(lǐng)導(dǎo)、人員、職責(zé)、工作“四到位”。

㈡提高食品藥品監(jiān)督網(wǎng)絡(luò)運(yùn)行質(zhì)量。食品藥品監(jiān)督管理部門(mén)要建立和健全三級(jí)食品藥品監(jiān)督網(wǎng)絡(luò)例會(huì)制度、監(jiān)督報(bào)告制度、檢查制度、責(zé)任追究制度等規(guī)章制度和工作程序，做好食品藥品協(xié)管員、信息員的聘任和調(diào)整工作，落實(shí)好各項(xiàng)規(guī)章制度；要加強(qiáng)對(duì)“協(xié)管員、信息員”的培訓(xùn)，提高其監(jiān)督協(xié)管能力和水平；健全和完善全區(qū)食品藥品監(jiān)管信息報(bào)送、舉報(bào)投訴、快速反應(yīng)和協(xié)同聯(lián)動(dòng)機(jī)制。

㈢加強(qiáng)藥品市場(chǎng)的規(guī)范化管理。深入推進(jìn)藥品放心工程。強(qiáng)化藥品經(jīng)營(yíng)使用單位的監(jiān)督管理，規(guī)范藥品采購(gòu)渠道，改善藥品儲(chǔ)存條件，確保藥房規(guī)范化、標(biāo)準(zhǔn)化建設(shè)。加強(qiáng)對(duì)各類(lèi)藥品和醫(yī)療器械的質(zhì)量監(jiān)管，杜絕假冒偽劣藥品、醫(yī)療器械進(jìn)入市場(chǎng)，打擊各類(lèi)非法游醫(yī)和走村串戶(hù)上門(mén)兜售偽劣藥品、保健品的違法行為。

㈣推進(jìn)涉藥單位誠(chéng)信體系建設(shè)。⒈建立誠(chéng)信檔案。采集相關(guān)信息和數(shù)據(jù)，建立藥械經(jīng)營(yíng)、使用單位及銷(xiāo)售人員數(shù)據(jù)庫(kù)。⒉開(kāi)展誠(chéng)信活動(dòng)。在全區(qū)各醫(yī)療機(jī)構(gòu)、零售藥店中開(kāi)展誠(chéng)信經(jīng)營(yíng)評(píng)比活動(dòng)。⒊加強(qiáng)誠(chéng)信培訓(xùn)。定期召開(kāi)例會(huì)，對(duì)參會(huì)的醫(yī)療機(jī)構(gòu)和藥店負(fù)責(zé)人進(jìn)行誠(chéng)信創(chuàng)建培訓(xùn)，著力增強(qiáng)涉藥單位的守法和誠(chéng)信意識(shí)。⒋加強(qiáng)誠(chéng)信宣傳。利用執(zhí)法檢查、發(fā)放宣傳材料等多種形式，利用網(wǎng)絡(luò)、報(bào)紙等媒介，進(jìn)一步宣傳誠(chéng)信建設(shè)的重要意義，引導(dǎo)各涉藥單位強(qiáng)化自律機(jī)制。⒌實(shí)行誠(chéng)信檢查。將涉藥單位誠(chéng)信體系建設(shè)作為藥品執(zhí)法檢查的一項(xiàng)重要內(nèi)容，對(duì)失信單位按進(jìn)行要求整改，并嚴(yán)格回查該單位整改落實(shí)情況。

㈤加強(qiáng)對(duì)農(nóng)村食品安全工作的監(jiān)督管理。深入推進(jìn)農(nóng)村食品放心工程，進(jìn)一步健全食品安全應(yīng)急救援體系。在農(nóng)村大力推行家庭自辦宴席報(bào)告?zhèn)浒钢贫取⑥r(nóng)家樂(lè)管理辦法、食品安全承諾制等工作制度，建立健全家庭自辦宴席衛(wèi)生檢測(cè)和安全監(jiān)管機(jī)制，充分發(fā)揮農(nóng)村基層組織作用，逐級(jí)落實(shí)家宴食品安全責(zé)任制和責(zé)任追究制。加強(qiáng)對(duì)農(nóng)村各類(lèi)食品銷(xiāo)售網(wǎng)點(diǎn)的質(zhì)量衛(wèi)生監(jiān)督，積極開(kāi)展鄉(xiāng)村“食品放心店”創(chuàng)建活動(dòng)。

㈥廣泛深入地開(kāi)展食品藥品安全網(wǎng)絡(luò)建設(shè)宣傳活動(dòng)。各有關(guān)部門(mén)要積極開(kāi)展食品藥品安全宣傳活動(dòng)，利用各種形式，圍繞科學(xué)、合理、安全飲食用藥等主題，普及食品安全和科學(xué)用藥、安全用藥等知識(shí)，經(jīng)常性地對(duì)群眾開(kāi)展宣傳教育活動(dòng)，提高人民群眾的食品藥品安全意識(shí)。

四、工作要求

篇(2)

關(guān)鍵詞： 武警；局域網(wǎng)；比較；安全技術(shù)

中圖分類(lèi)號(hào)：TN919 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）0310095－01

武警部隊(duì)近年來(lái)信息化發(fā)展迅速，三級(jí)網(wǎng)絡(luò)已經(jīng)建成，極大提高了部隊(duì)工作效率。隨之而來(lái)的是安全保密形勢(shì)越來(lái)越嚴(yán)峻，主要是涉及到與公安警務(wù)網(wǎng)互聯(lián)、與地方民政部門(mén)數(shù)據(jù)交換、與協(xié)同作戰(zhàn)等的保密問(wèn)題。為此，筆者對(duì)網(wǎng)絡(luò)隔離下幾種數(shù)據(jù)交換技術(shù)進(jìn)行了比較研究。

1 網(wǎng)絡(luò)隔離的原因

1）的網(wǎng)絡(luò)與低密級(jí)的網(wǎng)絡(luò)互聯(lián)是不安全的，尤其來(lái)自不可控制網(wǎng)絡(luò)上的入侵與攻擊是無(wú)法定位管理的?；ヂ?lián)網(wǎng)是世界級(jí)的網(wǎng)絡(luò)，也是安全上難以控制的網(wǎng)絡(luò)，又要連通提供公共業(yè)務(wù)服務(wù)，又要防護(hù)各種攻擊與病毒。要有隔離，還要數(shù)據(jù)交換是各企業(yè)、政府等網(wǎng)絡(luò)建設(shè)的首先面對(duì)的問(wèn)。

2）安全防護(hù)技術(shù)永遠(yuǎn)落后于攻擊技術(shù)，先有了矛，可以刺傷敵人，才有了盾，可以防護(hù)被敵人刺傷。攻擊技術(shù)不斷變化升級(jí)，門(mén)檻降低、漏洞出現(xiàn)周期變短、病毒傳播技術(shù)成了木馬的運(yùn)載工具，而防護(hù)技術(shù)好象總是打不完的補(bǔ)丁，目前互聯(lián)網(wǎng)上的“黑客”已經(jīng)產(chǎn)業(yè)化，有些象網(wǎng)絡(luò)上的“黑社會(huì)”，雖然有時(shí)也做些殺富濟(jì)貧的“義舉”，但為了生存，不斷專(zhuān)研新型攻擊技術(shù)也是必然的。在一種新型的攻擊出現(xiàn)后，防護(hù)技術(shù)要遲后一段時(shí)間才有應(yīng)對(duì)的辦法，這也是網(wǎng)絡(luò)安全界的目前現(xiàn)狀。

因此網(wǎng)絡(luò)隔離就是先把網(wǎng)絡(luò)與非安全區(qū)域劃開(kāi)，當(dāng)然最好的方式就是在城市周?chē)诘淖o(hù)城河，然后再建幾個(gè)可以控制的“吊橋”，保持與城外的互通。數(shù)據(jù)交換技術(shù)的發(fā)展就是研究“橋”上的防護(hù)技術(shù)。

關(guān)于隔離與數(shù)據(jù)交換，總結(jié)起來(lái)有下面幾種安全策略：

修橋策略：業(yè)務(wù)協(xié)議直接通過(guò)，數(shù)據(jù)不重組，對(duì)速度影響小，安全性弱；

防火墻FW：網(wǎng)絡(luò)層的過(guò)濾；

多重安全網(wǎng)關(guān)：從網(wǎng)絡(luò)層到應(yīng)用層的過(guò)濾，多重關(guān)卡策略；

渡船策略：業(yè)務(wù)協(xié)議不直接通過(guò)，數(shù)據(jù)要重組，安全性好；

網(wǎng)閘：協(xié)議落地，安全檢測(cè)依賴(lài)于現(xiàn)有的安全技術(shù)；

交換網(wǎng)絡(luò)：建立交換緩沖區(qū)，采用防護(hù)、監(jiān)控與審計(jì)多方位的安全防護(hù)；

人工策略：不做物理連接，人工用移動(dòng)介質(zhì)交換數(shù)據(jù)，安全性最好。[1]

2 數(shù)據(jù)交換技術(shù)

2.1 防火墻

防火墻是最常用的網(wǎng)絡(luò)隔離手段，主要是通過(guò)網(wǎng)絡(luò)的路由控制，也就是訪(fǎng)問(wèn)控制列表（ACL）技術(shù)，網(wǎng)絡(luò)是一種包交換技術(shù)，數(shù)據(jù)包是通過(guò)路由交換到達(dá)目的地的，所以控制了路由，就能控制通訊的線(xiàn)路，控制了數(shù)據(jù)包的流向，早期的網(wǎng)絡(luò)安全控制方面基本上是防火墻。國(guó)內(nèi)影響較大的廠(chǎng)商有天融信、啟明星辰、聯(lián)想網(wǎng)御等。

但是，防火墻有一個(gè)很顯著的缺點(diǎn)：就是防火墻只能做網(wǎng)絡(luò)四層以下的控制，對(duì)于應(yīng)用層內(nèi)的病毒、蠕蟲(chóng)都沒(méi)有辦法。對(duì)于安全要求初級(jí)的隔離是可以的，但對(duì)于需要深層次的網(wǎng)絡(luò)隔離就顯得不足了。

值得一提的是防火墻中的NAT技術(shù)，地址翻譯可以隱藏內(nèi)網(wǎng)的IP地址，很多人把它當(dāng)作一種安全的防護(hù)，認(rèn)為沒(méi)有路由就是足夠安全的。地址翻譯其實(shí)是服務(wù)器技術(shù)的一種，不讓業(yè)務(wù)訪(fǎng)問(wèn)直接通過(guò)是在安全上前進(jìn)了一步，但目前應(yīng)用層的繞過(guò)NAT技術(shù)很普遍，隱藏地址只是相對(duì)的。目前很多攻擊技術(shù)是針對(duì)防火墻的，尤其防火墻對(duì)于應(yīng)用層沒(méi)有控制，方便了木馬的進(jìn)入，進(jìn)入到內(nèi)網(wǎng)的木馬看到的是內(nèi)網(wǎng)地址，直接報(bào)告給外網(wǎng)的攻擊者，NAT的安全作用就不大了。

2.2 多重安全網(wǎng)關(guān)（也稱(chēng)新一代防火墻）[2]

防火墻是在“橋”上架設(shè)的一道關(guān)卡，只能做到類(lèi)似“護(hù)照”的檢查，多重安全網(wǎng)關(guān)的方法就是架設(shè)多道關(guān)卡，有檢查行李的、有檢查人的。多重安全網(wǎng)關(guān)也有一個(gè)統(tǒng)一的名字：UTM（統(tǒng)一威脅管理）。設(shè)計(jì)成一個(gè)設(shè)備，還是多個(gè)設(shè)備只是設(shè)備本身處理能力的不同，重要的是進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查。國(guó)內(nèi)推出UTM的廠(chǎng)家很多，如天融信、啟明星辰等。

多重安全網(wǎng)關(guān)的檢查分幾個(gè)層次：

FW：網(wǎng)絡(luò)層的ACL；

IPS：防入侵行為；

Av：防病毒入侵；

可擴(kuò)充功能：自身防DOS攻擊、內(nèi)容過(guò)濾、流量整形。

防火墻與多重安全網(wǎng)關(guān)都是“架橋”的策略，主要是采用安全檢查的方式，對(duì)應(yīng)用的協(xié)議不做更改，所以速度快，流量大，可以過(guò)“汽車(chē)”業(yè)務(wù)，從客戶(hù)應(yīng)用上來(lái)看，沒(méi)有不同。

2.3 網(wǎng)閘[3]

網(wǎng)閘的設(shè)計(jì)是“+擺渡”。不在河上架橋，可以設(shè)擺渡船，擺渡船不直接連接兩岸，安全性當(dāng)然要比橋好，即使是攻擊，也不可能一下就進(jìn)入，在船上總要受到管理者的各種控制。另外，網(wǎng)閘的功能有，這個(gè)不只是協(xié)議，而是數(shù)據(jù)的“拆卸”，把數(shù)據(jù)還原成原始的面貌，拆除各種通訊協(xié)議添加的“包頭包尾”，很多攻擊是通過(guò)對(duì)數(shù)據(jù)的拆裝來(lái)隱藏自己的，沒(méi)有了這些“通訊外衣”，攻擊者就很難藏身了。

網(wǎng)閘的安全理念是[4]：

網(wǎng)絡(luò)隔離-“過(guò)河用船不用橋”：用“擺渡方式”來(lái)隔離網(wǎng)絡(luò)。

協(xié)議隔離-“禁止采用集裝箱運(yùn)輸”：通訊協(xié)議落地，用專(zhuān)用協(xié)議或存儲(chǔ)等方式阻斷通訊協(xié)議的連接，用方式支持上層業(yè)務(wù)。

按國(guó)家安全要求是需要網(wǎng)絡(luò)與非網(wǎng)絡(luò)互聯(lián)的時(shí)候，要采用網(wǎng)閘隔離，若非網(wǎng)絡(luò)與互聯(lián)網(wǎng)連通時(shí)，采用單向網(wǎng)閘，若非網(wǎng)絡(luò)與互聯(lián)網(wǎng)不連通時(shí)，采用雙向網(wǎng)閘。

2.4 交換網(wǎng)絡(luò)[5]

交換網(wǎng)絡(luò)的模型來(lái)源于銀行系統(tǒng)的Clark-Wilson模型，主要是通過(guò)業(yè)務(wù)與雙人審計(jì)的思路保護(hù)數(shù)據(jù)的完整性。交換網(wǎng)絡(luò)是在兩個(gè)隔離的網(wǎng)絡(luò)之間建立一個(gè)數(shù)據(jù)交換區(qū)域，負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)交換（單向或雙向）。交換網(wǎng)絡(luò)的兩端可以采用多重網(wǎng)關(guān)，也可以采用網(wǎng)閘。在交換網(wǎng)絡(luò)內(nèi)部采用監(jiān)控、審計(jì)等安全技術(shù)，整體上形成一個(gè)立體的交換網(wǎng)安全防護(hù)體系。

交換網(wǎng)絡(luò)的核心也是業(yè)務(wù)，客戶(hù)業(yè)務(wù)要經(jīng)過(guò)接入緩沖區(qū)的申請(qǐng)，到業(yè)務(wù)緩沖區(qū)的業(yè)務(wù)，才能進(jìn)入生產(chǎn)網(wǎng)絡(luò)。

網(wǎng)閘與交換網(wǎng)絡(luò)技術(shù)都是采用渡船策略，延長(zhǎng)數(shù)據(jù)通訊“里程”，增加安全保障措施。

3 數(shù)據(jù)交換技術(shù)的比較

不同的業(yè)務(wù)網(wǎng)絡(luò)根據(jù)自己的安全需求，選擇不同的數(shù)據(jù)交換技術(shù)，主要是看數(shù)據(jù)交換的量大小、實(shí)時(shí)性要求、業(yè)務(wù)服務(wù)方式的要求。

參考文獻(xiàn)：

[1]周碧英，淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：18-19.

[2]潘號(hào)良，面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊，2008（3）：74-75.

[3]劉愛(ài)國(guó)、李志梅，電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場(chǎng)現(xiàn)代化，2007（499）：76-77.

篇(3)

【關(guān)鍵詞】辦公網(wǎng);技術(shù)網(wǎng);防火墻;隔離

1.概述

1.1 當(dāng)前網(wǎng)絡(luò)狀況

隨著廣播發(fā)射電臺(tái)網(wǎng)絡(luò)建設(shè)的發(fā)展，電臺(tái)的業(yè)務(wù)需求也呈現(xiàn)多樣化，臺(tái)站網(wǎng)絡(luò)按照規(guī)劃一般分為兩個(gè)網(wǎng)段：辦公（OA）網(wǎng)和技術(shù)網(wǎng)。在現(xiàn)有的網(wǎng)絡(luò)中，以一臺(tái)H3C S5500交換機(jī)作為電臺(tái)辦公網(wǎng)的核心交換機(jī)，辦公網(wǎng)通過(guò)H3C S5500上聯(lián)MSR3020路由器，通過(guò)MSR3020接入全局廣域網(wǎng)，H3C S5500與MSR3020之間采用Eudemon 200防火墻隔離。

技術(shù)網(wǎng)以一臺(tái)三層交換機(jī)H3C S5500為核心，接入采用二層方式連接。改造之前辦公網(wǎng)與技術(shù)網(wǎng)之間沒(méi)有添加隔離設(shè)備，物理直接相連，通過(guò)靜態(tài)路由協(xié)議互通。如圖1所示。

圖1 網(wǎng)絡(luò)連接示意圖

1.2 辦公網(wǎng)與技術(shù)網(wǎng)隔離的背景

1.2.1 網(wǎng)絡(luò)潛在威脅

由于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息系統(tǒng)的不安全因素陡然增加。網(wǎng)絡(luò)的不安全因素主要表現(xiàn)為下列幾個(gè)方面：[1]

物理臨近攻擊。

內(nèi)部犯罪。

信息泄露。

重放攻擊。

篡改和破壞。

惡意程序的攻擊。

系統(tǒng)脆弱性攻擊。

網(wǎng)絡(luò)安全隱患是全方位的，軟件，硬件，人為等因素都會(huì)造成網(wǎng)絡(luò)的故障，甚至是不可挽回的損失。我們現(xiàn)在需解決的是電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)的隔離問(wèn)題，也就是說(shuō)要保證辦公網(wǎng)即使出現(xiàn)計(jì)算機(jī)病毒，惡意代碼等也不會(huì)波及到技術(shù)網(wǎng)。反之技術(shù)網(wǎng)的安全威脅也不會(huì)波及到辦公網(wǎng)。

1.2.2 隔離原因

在改造之前的運(yùn)行環(huán)境中，技術(shù)網(wǎng)和辦公網(wǎng)之間是通過(guò)靜態(tài)路由互通的，兩網(wǎng)之間沒(méi)有任何的隔離措施。

根據(jù)無(wú)線(xiàn)電臺(tái)管理局內(nèi)網(wǎng)網(wǎng)絡(luò)建設(shè)的要求，辦公網(wǎng)和技術(shù)網(wǎng)的安全級(jí)別是不一樣的。技術(shù)網(wǎng)主要部署安全播出服務(wù)器和控制終端，安全級(jí)別要求更高，技術(shù)網(wǎng)的網(wǎng)段地址不對(duì)外，只在臺(tái)站內(nèi)有效;辦公網(wǎng)網(wǎng)段是全局廣域網(wǎng)的，局機(jī)關(guān)與臺(tái)站以及各臺(tái)站之間都可以互訪(fǎng)。因此為了保證網(wǎng)絡(luò)安全，在辦公網(wǎng)和技術(shù)網(wǎng)之間須要增加安全隔離措施，以盡量避免或減少病毒、攻擊等網(wǎng)絡(luò)威脅對(duì)技術(shù)網(wǎng)造成影響。

在兩網(wǎng)之間，辦公網(wǎng)用戶(hù)與技術(shù)網(wǎng)用戶(hù)不需要進(jìn)行數(shù)據(jù)交換，辦公網(wǎng)服務(wù)器與技術(shù)網(wǎng)服務(wù)器分別設(shè)有一臺(tái)應(yīng)用服務(wù)器實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)同步。因此，安全隔離措施將全部禁止辦公網(wǎng)與技術(shù)網(wǎng)中其余用戶(hù)和服務(wù)器的數(shù)據(jù)交換，只允許辦公網(wǎng)應(yīng)用服務(wù)器（即辦公網(wǎng)通訊服務(wù)器，例如IP為10.2.72.149）和技術(shù)網(wǎng)應(yīng)用服務(wù)器（即技術(shù)網(wǎng)通訊服務(wù)器，例如IP為172.1.72.5）之間進(jìn)行數(shù)據(jù)傳遞。

2.隔離方案對(duì)比

根據(jù)電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀和需求，我們提出以下四種網(wǎng)絡(luò)隔離解決方案：

2.1 物理隔離

物理隔離是一種完全斷開(kāi)物理上連接的方式，使得辦公網(wǎng)和技術(shù)網(wǎng)相互不連通。在辦公網(wǎng)需要提取技術(shù)網(wǎng)相關(guān)數(shù)據(jù)時(shí)，通過(guò)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳輸。這種方式的優(yōu)點(diǎn)在于只要保證了存儲(chǔ)介質(zhì)和對(duì)技術(shù)網(wǎng)進(jìn)行訪(fǎng)問(wèn)的相關(guān)人員的安全，就保證了技術(shù)網(wǎng)的絕對(duì)安全。

但是由于辦公網(wǎng)需要讀取的不僅僅是數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)，還包括服務(wù)器里實(shí)時(shí)變動(dòng)的相應(yīng)數(shù)據(jù)，所以采取此方式得到的數(shù)據(jù)都存在相當(dāng)大的延遲，從某種程度上講，得到的數(shù)據(jù)已經(jīng)“失效”。

2.2 訪(fǎng)問(wèn)控制列表

為了過(guò)濾通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識(shí)別需要過(guò)濾的對(duì)象。在識(shí)別出特定的對(duì)象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)，訪(fǎng)問(wèn)控制列表（Access Control List，ACL）就是用來(lái)實(shí)現(xiàn)這些功能。ACL通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。ACL應(yīng)用在交換機(jī)全局或端口，交換機(jī)根據(jù)ACL中指定的條件來(lái)檢測(cè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。由ACL定義的數(shù)據(jù)包匹配規(guī)則，還可以在其它需要對(duì)流量進(jìn)行區(qū)分。

優(yōu)點(diǎn)：此方案不需要添加任何隔離設(shè)備。僅需要在核心交換機(jī)上設(shè)置ACL，只允許指定的辦公網(wǎng)服務(wù)器訪(fǎng)問(wèn)技術(shù)網(wǎng)服務(wù)器，禁止其余用戶(hù)訪(fǎng)問(wèn)，配置靈活，維護(hù)方便。

缺點(diǎn)：對(duì)病毒和網(wǎng)絡(luò)攻擊的防御作用較小。

2.3 多功能安全網(wǎng)關(guān)

在辦公網(wǎng)和技術(shù)網(wǎng)之間增加多功能安全網(wǎng)關(guān)設(shè)備，隔離辦公網(wǎng)和技術(shù)網(wǎng)。

多功能安全網(wǎng)關(guān)工作模式為路由模式，采用靜態(tài)路由方式。增加包過(guò)濾規(guī)則，對(duì)匹配辦公網(wǎng)通訊服務(wù)器和技術(shù)網(wǎng)通訊服務(wù)器的網(wǎng)絡(luò)流量允許通過(guò)，其余流量禁止通過(guò)，同時(shí)利用訪(fǎng)問(wèn)控制列表過(guò)濾病毒端口。

優(yōu)點(diǎn)：功能強(qiáng)大，整合了防病毒、IDS、IPS、防火墻等功能，降低技術(shù)復(fù)雜度。

缺點(diǎn)：不能有效防范內(nèi)部攻擊，過(guò)度集成造成誤判率較高，降低了系統(tǒng)的可用性和穩(wěn)定性。

2.4 防火墻

在辦公網(wǎng)和技術(shù)網(wǎng)之間增加防火墻設(shè)備，隔離辦公網(wǎng)和技術(shù)網(wǎng)。

防火墻配置路由模式，采用靜態(tài)路由方式。同時(shí)，采用兩種隔離規(guī)則：

（1）增加包過(guò)濾規(guī)則，對(duì)匹配辦公網(wǎng)通訊服務(wù)器和技術(shù)網(wǎng)通訊服務(wù)器的網(wǎng)絡(luò)流量允許通過(guò)，其余流量禁止通過(guò)，同時(shí)利用訪(fǎng)問(wèn)控制類(lèi)別過(guò)濾病毒端口。

（2）通過(guò)NAT方式，對(duì)外隱藏技術(shù)網(wǎng)應(yīng)用服務(wù)器地址，把該IP地址轉(zhuǎn)換成一個(gè)其他地址，轉(zhuǎn)換后辦公網(wǎng)中只能看到防火墻轉(zhuǎn)換后的地址，而無(wú)法看到原始IP地址，增強(qiáng)了安全性。

優(yōu)點(diǎn)：性?xún)r(jià)比高，配置靈活，維護(hù)方便，安全性高。

缺點(diǎn)：功能較為單一，不能有效防范內(nèi)部攻擊和未設(shè)置策略的攻擊漏洞。

2.5 方案對(duì)比和選擇

為了提供最佳的解決方案，我們需要針對(duì)電臺(tái)網(wǎng)絡(luò)進(jìn)行綜合的分析，權(quán)衡利弊，才能提出一個(gè)理想的解決方案。

電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)之間數(shù)據(jù)流量并不大，辦公網(wǎng)用戶(hù)與辦公網(wǎng)用戶(hù)之間除了特定的應(yīng)用服務(wù)器都沒(méi)有數(shù)據(jù)交換的需要。但是數(shù)據(jù)交換具有偶然性、實(shí)時(shí)性的要求，除了讀取數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)，還需要讀中間件服務(wù)器中的實(shí)時(shí)變化的數(shù)據(jù)。綜合考慮辦公網(wǎng)與技術(shù)網(wǎng)的使用現(xiàn)狀、流量、數(shù)據(jù)交換要求、經(jīng)濟(jì)性以及安全特性等因素，以上4種解決方案中我們建議采取第四種解決方案，即采用防火墻作為兩網(wǎng)間的隔離設(shè)備，以達(dá)到安全防護(hù)的目的。

主要原因如下：

（1）物理隔離方式因?yàn)闆](méi)有直接的物理連接最為安全，但其提供的數(shù)據(jù)交換不能夠滿(mǎn)足對(duì)技術(shù)網(wǎng)數(shù)據(jù)提取的要求。

（2）訪(fǎng)問(wèn)控制列表過(guò)于簡(jiǎn)單，只能單純地過(guò)濾數(shù)據(jù)報(bào)，不能對(duì)報(bào)文作深度的監(jiān)測(cè)分析，沒(méi)有防病毒、抗攻擊能力。

（3）多功能安全網(wǎng)關(guān)，具備強(qiáng)大的防火墻功能，安全性較高，但價(jià)格昂貴，配置復(fù)雜，過(guò)度集成造成性能下降，誤判率高，增加了配置和維護(hù)的復(fù)雜性。

（4）防火墻功能強(qiáng)大，傳輸效率高，安全性較高，可對(duì)數(shù)據(jù)報(bào)進(jìn)行深度的監(jiān)測(cè)分析，具有抗病毒、抗攻擊能力。

3.防火墻隔離詳細(xì)設(shè)置

3.1 防火墻工作模式

針對(duì)電臺(tái)站辦公網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀，防火墻采用路由模式工作，因?yàn)橹挥胁捎眠@種工作模式才可以利用NAT技術(shù)進(jìn)（下轉(zhuǎn)第169頁(yè)）（上接第165頁(yè)）行地址轉(zhuǎn)換，實(shí)現(xiàn)隱藏技術(shù)網(wǎng)地址的目的。

在路由模式下，防火墻必須設(shè)置接口IP地址。它除了具備路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)功能外，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，增強(qiáng)網(wǎng)絡(luò)安全性。見(jiàn)圖2所示。

圖2 防火墻隔離示意圖

3.2 IP地址和路由協(xié)議使用

防火墻采用路由模式時(shí)與之連接的接口必須配置IP地址，防火墻采用靜態(tài)路由協(xié)議與辦公網(wǎng)和技術(shù)網(wǎng)互通。

接口地址表如下：

辦公交換機(jī)S5500，端口為GE0/0/19，IP地址為10.2.72.17;

防火墻，端口為GE0，IP地址為10.2. 72.18，端口為GE1，IP地址為10.2.72.21;

技術(shù)交換機(jī)S5500，端口為E1/0/2，IP地址為10.2.72.22。

NAT地址表：內(nèi)部地址為172.1.72.5;外部地址為10.2.72.120/29

參照接口地址表和NAT的地址表，路由協(xié)議配置規(guī)則如下：

（1）技術(shù)網(wǎng)核心交換機(jī)S5500配置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.149，下一跳地址為10.2.72.21。

（2）防火墻配置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址172.1.72.5，下一跳地址為10.2.72.22;去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.149，下一跳地址為10.2.72.17。同時(shí)，設(shè)置NAT地址池將地址為172.1.72.5放置在地址池中，轉(zhuǎn)換成地址為10.2.72.120/29綁定在出方向GE1接口，設(shè)置global地址10.2.72.121轉(zhuǎn)換成inside地址172.1.72.5。

（3）辦公網(wǎng)核心交換機(jī)S5500設(shè)置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.120，下一跳地址為10.2.72.18。

3.3 NAT配置

在本防火墻設(shè)置中，可以把技術(shù)網(wǎng)看作一個(gè)內(nèi)部網(wǎng)絡(luò)。

NAT就是在技術(shù)網(wǎng)中使用內(nèi)部地址，而當(dāng)技術(shù)網(wǎng)節(jié)點(diǎn)要與辦公網(wǎng)節(jié)點(diǎn)進(jìn)行通訊時(shí)，就在防火墻處將技術(shù)網(wǎng)地址替換成一個(gè)另外的地址。

通過(guò)這種方法，NAT對(duì)外屏蔽了技術(shù)網(wǎng)網(wǎng)絡(luò)，所有技術(shù)網(wǎng)計(jì)算機(jī)對(duì)于辦公網(wǎng)來(lái)說(shuō)是不可見(jiàn)的，而技術(shù)網(wǎng)計(jì)算機(jī)用戶(hù)通常不會(huì)意識(shí)到NAT的存在。

在這次改造過(guò)程中，我們可在防火墻上配置NAT，針對(duì)技術(shù)網(wǎng)配置地址轉(zhuǎn)換，技術(shù)網(wǎng)應(yīng)用服務(wù)器，IP地址為172.1.72.5，可以看作是內(nèi)部地址，通過(guò)地址轉(zhuǎn)換，轉(zhuǎn)換成IP地址為10.2.72.121的全局地址。

對(duì)于辦公網(wǎng)來(lái)說(shuō)，辦公網(wǎng)只知道技術(shù)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)換的地址，而不知道真實(shí)的地址，這就提高了網(wǎng)絡(luò)安全性，確保了技術(shù)網(wǎng)內(nèi)服務(wù)器的保密性，隱藏了技術(shù)網(wǎng)內(nèi)真實(shí)的IP地址。

以上設(shè)置能夠保證技術(shù)網(wǎng)服務(wù)器正常訪(fǎng)問(wèn)辦公網(wǎng)服務(wù)器，同時(shí)辦公網(wǎng)服務(wù)器也能正常訪(fǎng)問(wèn)技術(shù)網(wǎng)服務(wù)器，而辦公網(wǎng)中只知道去往地址的路由，并不會(huì)知道技術(shù)網(wǎng)服務(wù)器的存在，這樣就利用防火墻保證了辦公網(wǎng)和技術(shù)網(wǎng)的安全性和獨(dú)立性。

4.結(jié)論

辦公網(wǎng)和技術(shù)網(wǎng)隔離的改造完成之后，保障了辦公網(wǎng)用戶(hù)終端安全的使用，技術(shù)網(wǎng)應(yīng)用系統(tǒng)可靠穩(wěn)定的運(yùn)行，對(duì)電臺(tái)網(wǎng)絡(luò)安全建設(shè)發(fā)揮了巨大的作用，為電臺(tái)的安全播出工作做出了重要的貢獻(xiàn)。

參考文獻(xiàn)

篇(4)

【關(guān)鍵詞】廣州亞運(yùn)會(huì) 800兆數(shù)字集群共網(wǎng) 應(yīng)急聯(lián)動(dòng) TETRA 無(wú)線(xiàn)基站

1 概述

美國(guó)“9?11”事件后,政府職能部門(mén)應(yīng)急聯(lián)動(dòng)和城市的安全管理逐步引起了各國(guó)政府部門(mén)的關(guān)注,隨著目前國(guó)內(nèi)經(jīng)濟(jì)的持續(xù)發(fā)展,城市人口和規(guī)模的不斷擴(kuò)大,舉辦各種大型公眾活動(dòng),迫切需要建立一套適應(yīng)多用戶(hù)的公共應(yīng)急調(diào)度指揮系統(tǒng)。廣州是中國(guó)繼北京之后第二個(gè)取得亞運(yùn)會(huì)主辦權(quán)的城市,即將迎來(lái)2010年11月12日至27日舉行的第16屆亞運(yùn)會(huì),在此背景下,廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)應(yīng)運(yùn)而生。

2009年9月29日,廣州市政府與中國(guó)電信廣東公司800兆數(shù)字集群共網(wǎng)項(xiàng)目舉行了合作簽約儀式,共網(wǎng)系統(tǒng)將采用“市政府主導(dǎo),企業(yè)運(yùn)作,政府集中購(gòu)買(mǎi)”的運(yùn)作模式,中國(guó)電信廣東公司負(fù)責(zé)投資建設(shè),廣州市信息化辦公室統(tǒng)籌使用,使用期限為2009年9月21日到2025年12月31日,這標(biāo)志著廣州市800兆數(shù)字集群共網(wǎng)項(xiàng)目的正式啟動(dòng)。2010年,廣州市800兆數(shù)字集群共網(wǎng)建成后,首先為廣州亞組委成員單位提供高質(zhì)量的指揮調(diào)度服務(wù),同時(shí)也將向政府機(jī)關(guān)、公安、交管、消防、城管、交通運(yùn)輸、水利、電力、防災(zāi)抗洪等部門(mén)提供日常指揮、調(diào)度、應(yīng)急聯(lián)動(dòng)等相關(guān)移動(dòng)通信服務(wù)。

2 網(wǎng)絡(luò)概況

經(jīng)過(guò)公開(kāi)招標(biāo),廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)全面選用歐洲宇航安全網(wǎng)絡(luò)公司(EADS)的數(shù)字集群技術(shù)和產(chǎn)品,由中國(guó)電子科技集團(tuán)公司第七研究所負(fù)責(zé)本地化技術(shù)服務(wù)。廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)采用TETRA技術(shù)體制組網(wǎng),使用800兆頻段,整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)共建設(shè)了195個(gè)基站,20個(gè)室內(nèi)覆蓋基站,并配置2臺(tái)車(chē)載移動(dòng)基站,對(duì)廣州市轄區(qū)內(nèi)進(jìn)行整體無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋,網(wǎng)絡(luò)覆蓋廣州市黨政軍機(jī)關(guān)、事業(yè)單位、外事機(jī)構(gòu)、體育場(chǎng)館、車(chē)站、港口、大型企業(yè)、商業(yè)、住宅區(qū)和高速公路、國(guó)道、省道等。

該系統(tǒng)建設(shè)內(nèi)容涵蓋:2個(gè)EADS TETRA交換機(jī),將亞運(yùn)保障等重要基站通過(guò)環(huán)型拓?fù)渫瑫r(shí)接入2個(gè)交換中心,同時(shí)將其余基站通過(guò)DXC交叉連接設(shè)備分別接入2個(gè)交換中心,如圖1所示。系統(tǒng)包含80000用戶(hù)的歸屬位置寄存器(HLR),并實(shí)現(xiàn)了鏡像備份,1套網(wǎng)管系統(tǒng),22套網(wǎng)管終端,1個(gè)超級(jí)調(diào)度臺(tái),7個(gè)無(wú)線(xiàn)虛擬網(wǎng)通信管理調(diào)度臺(tái),1個(gè)配置和數(shù)據(jù)分配服務(wù)器,1個(gè)鑒權(quán)密鑰分發(fā)服務(wù)器,1個(gè)TETRA互連服務(wù)器,1套終端編程(燒號(hào))工具,2套DXC數(shù)字交叉機(jī)等。

隨著廣州亞運(yùn)會(huì)日期的臨近,廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)網(wǎng)絡(luò)建設(shè)工作已接近尾聲,公安等指揮調(diào)度系統(tǒng)的接入工作正在調(diào)試中,目前共網(wǎng)系統(tǒng)已通過(guò)廣州市政府委托第三方組織的驗(yàn)收測(cè)試工作,雖然廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)處在工程驗(yàn)收后期和試運(yùn)營(yíng)同步階段,但共網(wǎng)系統(tǒng)的運(yùn)營(yíng)工作已全面啟動(dòng)。

3 網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)

與北京和上海相比,廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)的建設(shè)周期體現(xiàn)了時(shí)間緊、任務(wù)重兩個(gè)特點(diǎn)。時(shí)間緊方面,北京自2003年開(kāi)始,到2008年奧運(yùn)會(huì),約有5年半時(shí)間;上海自2006年開(kāi)始,到2010年世博會(huì),約有4年時(shí)間;而在廣州,廣州市政府與中國(guó)電信廣東公司于2009年9月簽訂合同,11月廣東公司進(jìn)行主設(shè)備招標(biāo)工作,到2010年11月亞運(yùn)會(huì),僅有1年時(shí)間。任務(wù)重方面,北京首期工程僅建設(shè)了90多個(gè)基站;上海首期工程僅建設(shè)了133個(gè)基站;廣州在4個(gè)月內(nèi)將建設(shè)195個(gè)基站,同時(shí)需成功建設(shè)兩臺(tái)集群應(yīng)急通信車(chē),距2010年11月亞運(yùn)會(huì)僅有6個(gè)月的網(wǎng)絡(luò)優(yōu)化和調(diào)整時(shí)間。

回顧廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)的建設(shè)過(guò)程:2009年11月底主設(shè)備采購(gòu)合同簽訂后,同時(shí)廣州市800兆數(shù)字集群共網(wǎng)項(xiàng)目建設(shè)工作立即啟動(dòng),2009年12月廣州市800兆數(shù)字集群共網(wǎng)示范站即開(kāi)通,2010年4月網(wǎng)絡(luò)即進(jìn)入了電信內(nèi)部組織的網(wǎng)絡(luò)驗(yàn)收測(cè)試階段。這樣,僅僅用了3個(gè)月時(shí)間,完成了廣州市800兆數(shù)字集群共網(wǎng)的基本建設(shè)工作,創(chuàng)造了集群史上的廣州速度,為廣州亞運(yùn)保障提供了有力支持。

自2010年5月11日起,廣州市科技和信息化局委托廣州廣電計(jì)量測(cè)試技術(shù)有限公司和廣州市無(wú)線(xiàn)電監(jiān)測(cè)計(jì)算站分別對(duì)共網(wǎng)項(xiàng)目的網(wǎng)絡(luò)覆蓋、系統(tǒng)功能和服務(wù)展開(kāi)測(cè)試驗(yàn)收,驗(yàn)收主要內(nèi)容涵蓋了調(diào)度業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)功能、虛擬專(zhuān)網(wǎng)、安全、互聯(lián)互通等100多項(xiàng)系統(tǒng)功能測(cè)試,接續(xù)質(zhì)量指標(biāo)、傳輸質(zhì)量指標(biāo)等網(wǎng)絡(luò)性能測(cè)試以及制度流程、維護(hù)流程、維護(hù)駐點(diǎn)、監(jiān)控客響流程、應(yīng)急車(chē)調(diào)度、覆蓋測(cè)試和亞運(yùn)保障區(qū)域的網(wǎng)絡(luò)壓力測(cè)試等內(nèi)容。目前,廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)已正式通過(guò)廣州市政府驗(yàn)收工作,并于2010年5月28日在廣東電信廣場(chǎng)召開(kāi)了啟用大會(huì),這標(biāo)志著廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)進(jìn)入了運(yùn)營(yíng)階段。

截至6月18日,接入網(wǎng)絡(luò)的正式用戶(hù)都是公安用戶(hù),目前廣州市800兆數(shù)字集群共網(wǎng)全網(wǎng)話(huà)務(wù)量比較低,排隊(duì)率現(xiàn)象也比較少。此外,除了工程尚未完工還不具備運(yùn)營(yíng)條件的個(gè)別基站外,在網(wǎng)基站運(yùn)營(yíng)情況良好。

4 結(jié)束語(yǔ)

廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)的成功建設(shè)和運(yùn)營(yíng)將緩解專(zhuān)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)容量小、頻率資源浪費(fèi)、重復(fù)建設(shè)等問(wèn)題,也可以減少專(zhuān)網(wǎng)的維護(hù)和運(yùn)營(yíng)成本,為企業(yè)和社會(huì)節(jié)約資源。廣州市800兆數(shù)字集群共網(wǎng)系統(tǒng)將在廣州亞運(yùn)會(huì)的通信保指揮調(diào)度障中發(fā)揮重要作用,日后也會(huì)很好地承擔(dān)起廣州市城市應(yīng)急聯(lián)動(dòng)、政府無(wú)線(xiàn)政務(wù)網(wǎng)的相關(guān)職能。廣州市政府與中國(guó)電信廣東公司的共網(wǎng)系統(tǒng)運(yùn)營(yíng)模式,也將對(duì)珠三角乃至華南地區(qū)數(shù)字集群共網(wǎng)系統(tǒng)起到示范效應(yīng)。

參考文獻(xiàn)

[1]唐云蜂. 800兆Hz數(shù)字集群通信系統(tǒng)規(guī)劃建設(shè)思考[J]. 中國(guó)無(wú)線(xiàn)電,2008(11).

[2]鄭祖輝. 城市應(yīng)急聯(lián)動(dòng)和數(shù)字集群通信[J]. 數(shù)字通信世界, 2005(12).

篇(5)

論文摘要：隨著信息技術(shù)的不斷發(fā)展，學(xué)校如何更好的利用內(nèi)部網(wǎng)絡(luò)服務(wù)成為擺在學(xué)校面前的重要課題。本文通過(guò)對(duì)學(xué)校網(wǎng)絡(luò)建設(shè)現(xiàn)狀及vpn技術(shù)的分析介紹，在如何利用vpn技術(shù)為學(xué)校搭建網(wǎng)絡(luò)應(yīng)用安全通道進(jìn)行了探索。

隨著信息化時(shí)代的到來(lái)，以網(wǎng)絡(luò)技術(shù)為代表的信息技術(shù)已經(jīng)成為社會(huì)發(fā)展的重要推動(dòng)力。網(wǎng)絡(luò)技術(shù)以其信息海量性、交互性、便捷性等優(yōu)勢(shì)，正在日益深人人們的生活。同樣，由于信息技術(shù)的巨大作用，它也被廣泛應(yīng)用于學(xué)校的各種活動(dòng)之中。當(dāng)然，網(wǎng)絡(luò)技術(shù)同時(shí)也存在很多缺點(diǎn)，比如網(wǎng)絡(luò)安全問(wèn)題，就成為影響學(xué)校信息安全的潛在威脅。因此，學(xué)校在利用網(wǎng)絡(luò)技術(shù)的同時(shí)，

一定要注意研究和防范其缺點(diǎn)和不足。

i、我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)的基本情況和特點(diǎn)

    應(yīng)該說(shuō)，我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)起步時(shí)間較晚，但是發(fā)展速度十分迅速，筆者總結(jié)出我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)的基本情況和特點(diǎn)如下:

1.1建設(shè)的普遍性

    據(jù)一項(xiàng)不完全調(diào)查顯示，目前我國(guó)具備獨(dú)立的學(xué)校網(wǎng)絡(luò)系統(tǒng)的學(xué)校約占全體注冊(cè)學(xué)校數(shù)量的90%以上。這里所說(shuō)的學(xué)校網(wǎng)絡(luò)建設(shè)，不僅僅指學(xué)校的門(mén)戶(hù)網(wǎng)站或者學(xué)校主頁(yè)，而是涵蓋學(xué)校內(nèi)部行政辦公網(wǎng)、教學(xué)網(wǎng)絡(luò)以及學(xué)生網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)?？梢哉f(shuō)，隨著網(wǎng)絡(luò)技術(shù)的進(jìn)一步普及，學(xué)校已經(jīng)意識(shí)到建立自身獨(dú)立的網(wǎng)絡(luò)系統(tǒng)的巨大意義，能夠主動(dòng)投人人力物力，聘請(qǐng)專(zhuān)業(yè)機(jī)構(gòu)針對(duì)本學(xué)校特點(diǎn)研發(fā)、部署網(wǎng)絡(luò)系統(tǒng)。

1.2應(yīng)用的廣泛性

    目前我國(guó)學(xué)校在創(chuàng)建獨(dú)立網(wǎng)絡(luò)體系的同時(shí)，非常注意對(duì)于網(wǎng)絡(luò)功能的再開(kāi)發(fā)。目前國(guó)內(nèi)學(xué)校利用網(wǎng)絡(luò)系統(tǒng)可以進(jìn)行內(nèi)部管理、辦公自動(dòng)化處理、視頻會(huì)議、網(wǎng)絡(luò)教學(xué)、ip電話(huà)、學(xué)校推廣等等，極大地豐富了校園網(wǎng)絡(luò)的應(yīng)用手段，拓展了應(yīng)用領(lǐng)域。

1.3安全意識(shí)提高

    從國(guó)內(nèi)市場(chǎng)主流網(wǎng)絡(luò)安全技術(shù)銷(xiāo)售情況可以看出，全社會(huì)網(wǎng)絡(luò)安全意識(shí)正在逐步提高，一些造價(jià)不菲的學(xué)校版專(zhuān)業(yè)軟件銷(xiāo)售情況也十分可觀(guān)。學(xué)校加強(qiáng)對(duì)網(wǎng)絡(luò)安全的防范，一方面體現(xiàn)出學(xué)校的觀(guān)念正在逐步改進(jìn)，另一方面可以看出，我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)安全市場(chǎng)仍然具備較大的拓展空間。

1.4交流的多樣性

    學(xué)校網(wǎng)絡(luò)大都由外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)構(gòu)成。外部網(wǎng)絡(luò)就是通常意義上的互聯(lián)網(wǎng)，而內(nèi)部網(wǎng)絡(luò)是學(xué)校獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，俗稱(chēng)內(nèi)網(wǎng)。隨著交流的不斷增多和辦公形式的多樣化，越來(lái)越多的用戶(hù)希望能隨時(shí)通過(guò)互聯(lián)網(wǎng)接人校園網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程辦公。而在當(dāng)今日益繁多的網(wǎng)絡(luò)技術(shù)中，vpn技術(shù)由于具備自身獨(dú)特的優(yōu)勢(shì)，可以很好地滿(mǎn)足建立學(xué)校網(wǎng)絡(luò)安全通道的需求。

2,vpn技術(shù)

2.1基本情況

    vpn僅irtualprivatenetwork)，即虛擬專(zhuān)用網(wǎng)，被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。vpn主要技術(shù)包括隧道技術(shù)與安全技術(shù)。簡(jiǎn)言之，通過(guò)利用vpn技術(shù)，可以在學(xué)校內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間建立一個(gè)虛擬的安全通道，實(shí)現(xiàn)學(xué)校充分利用校內(nèi)網(wǎng)絡(luò)系統(tǒng)的要求。

2.2獨(dú)特優(yōu)勢(shì)

    vpn技術(shù)是比較新的網(wǎng)絡(luò)技術(shù)，具有許多以往網(wǎng)絡(luò)虛擬技術(shù)所不具備的優(yōu)勢(shì)，具體說(shuō)來(lái)，主要體現(xiàn)如下:

    第一，可以最大限度地保證學(xué)校網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。在前文中，筆者談到學(xué)校關(guān)心網(wǎng)絡(luò)安全問(wèn)題，能否保證學(xué)校網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定和安全，將是這項(xiàng)技術(shù)能否被大范圍推廣和使用的關(guān)鍵。在vpn技術(shù)中，學(xué)校可以在內(nèi)部服務(wù)器上實(shí)現(xiàn)對(duì)用戶(hù)資格的認(rèn)證，同時(shí)，在網(wǎng)絡(luò)運(yùn)作過(guò)程中。 vpn技術(shù)還可以支持點(diǎn)對(duì)點(diǎn)加密及各種網(wǎng)絡(luò)安全加密協(xié)議，如ipsecarity，這可以最大程度上保證學(xué)校網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

    第二，可以降低學(xué)校網(wǎng)絡(luò)運(yùn)行維護(hù)的成本。由于vpn設(shè)備本身帶有路由功能，可以有效地減少學(xué)校內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時(shí)需要的網(wǎng)絡(luò)配置設(shè)備，對(duì)一些傳統(tǒng)設(shè)備，vpn技術(shù)也可以很好地實(shí)現(xiàn)兼容。在虛擬網(wǎng)絡(luò)運(yùn)行過(guò)程中，由于其穩(wěn)定性良好，不需要學(xué)校付出大量成本進(jìn)行維護(hù)，因此可以極大地降低學(xué)校網(wǎng)絡(luò)成本。

    第三，可以實(shí)現(xiàn)學(xué)校網(wǎng)絡(luò)系統(tǒng)功能的提升。學(xué)校網(wǎng)絡(luò)系統(tǒng)應(yīng)用vpn技術(shù)，可以將學(xué)校內(nèi)部的網(wǎng)絡(luò)設(shè)備與外網(wǎng)實(shí)現(xiàn)安全互聯(lián)，同時(shí)也可以將學(xué)校分支機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備進(jìn)行有效連接，主要部門(mén)通過(guò)對(duì)于vpn權(quán)限的控制，可以有效地掌控學(xué)校網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，并依托學(xué)校網(wǎng)絡(luò)進(jìn)行各項(xiàng)活動(dòng)，從而實(shí)現(xiàn)對(duì)學(xué)校網(wǎng)絡(luò)功能的進(jìn)一步擴(kuò)展。

3、學(xué)校如何利用vpn技術(shù)

    既然vpn技術(shù)具有許多優(yōu)勢(shì)，非常適合運(yùn)用于學(xué)校網(wǎng)絡(luò)建設(shè)，那么學(xué)校應(yīng)該著手對(duì)這項(xiàng)技術(shù)的應(yīng)用進(jìn)行研究。筆者認(rèn)為，我國(guó)學(xué)校運(yùn)用vpn技術(shù)沒(méi)有固定的模式和套路，應(yīng)該依據(jù)學(xué)校自身的情況和特點(diǎn)，制定出相應(yīng)的使用方案。但是，學(xué)校在使用vpn技術(shù)的過(guò)程中，還是可以找到一些共性的原則。

篇(6)

一、企業(yè)安全管理三大問(wèn)題

自“棱鏡門(mén)”、iCloud照片泄露、攜程及支付寶等企業(yè)接連宕機(jī)等事件發(fā)生之后，信息安全已被國(guó)內(nèi)外政府、行業(yè)和企業(yè)推到了前所未有的高度。國(guó)務(wù)院《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》中也明確提出，要提升互聯(lián)網(wǎng)安全管理、態(tài)勢(shì)感知和風(fēng)險(xiǎn)防范能力，加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù)，加強(qiáng)“互聯(lián)網(wǎng)+”關(guān)鍵領(lǐng)域重要信息系統(tǒng)的安全保障。信息安全危害事件頻頻爆發(fā)。2015年5月，網(wǎng)易、支付寶、攜程、藝龍、知乎、Uber等多家知名企業(yè)出現(xiàn)接連宕機(jī)，互聯(lián)網(wǎng)安全問(wèn)題頻繁出現(xiàn)并集中爆發(fā)，這為我國(guó)企業(yè)安全管理敲響了警鐘。企業(yè)處理突發(fā)事件能力較弱。網(wǎng)易、支付寶、攜程等互聯(lián)網(wǎng)企業(yè)宕機(jī)后，很長(zhǎng)時(shí)間才得以解決，表明企業(yè)在應(yīng)對(duì)安全威脅突況時(shí)的力不從心，也反映出企業(yè)對(duì)信息安全中的外部威脅難以進(jìn)行有效防范和及時(shí)應(yīng)對(duì)。目前，我國(guó)互聯(lián)網(wǎng)企業(yè)總體停留在安全保障、被動(dòng)防御階段，并未形成明確推進(jìn)信息安全的管理措施。企業(yè)對(duì)信息安全重視程度不夠。與發(fā)達(dá)國(guó)家相比，我國(guó)企業(yè)用于信息安全方面的投資還很低，尚未占到企業(yè)信息系統(tǒng)建設(shè)總成本的2％，而國(guó)外企業(yè)用于安全系統(tǒng)的投資占整個(gè)網(wǎng)絡(luò)建設(shè)投資的15％～20％。例如，2014年我國(guó)信息安全投資總額為22億美元，不及美國(guó)的3.2%，且企業(yè)投資重點(diǎn)集中在安全基礎(chǔ)設(shè)施建設(shè)、產(chǎn)品更新?lián)Q代等，對(duì)安全服務(wù)投入明顯不足。許多企業(yè)口頭上重視信息安全，但未付諸實(shí)踐。

二、構(gòu)筑企業(yè)安全三重防線(xiàn)

建設(shè)合理先進(jìn)的信息安全管理系統(tǒng)。企業(yè)應(yīng)重點(diǎn)加大對(duì)安全評(píng)估測(cè)評(píng)工具及技術(shù)、數(shù)據(jù)防泄露及敏感信息防護(hù)技術(shù)、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)和統(tǒng)一身份管理與認(rèn)證技術(shù)的研發(fā)投入，重點(diǎn)建設(shè)一個(gè)集風(fēng)險(xiǎn)評(píng)估、安全策略、防御體系、實(shí)時(shí)檢測(cè)、數(shù)據(jù)恢復(fù)、安全跟蹤和動(dòng)態(tài)調(diào)整為一體的信息安全管理系統(tǒng)，加大信息安全管理的重視力度，從產(chǎn)品、技術(shù)、管理和制度多個(gè)維度來(lái)解決信息安全問(wèn)題。建立信息安全風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系。建議企業(yè)參照金融行業(yè)的管理模式，主動(dòng)建立風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系，出臺(tái)具備面對(duì)突發(fā)狀況的應(yīng)急方案和數(shù)據(jù)備份雙重機(jī)制，并重點(diǎn)開(kāi)展以下工作：完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)，構(gòu)建全方位的數(shù)據(jù)泄露防護(hù)系統(tǒng)，建立一體化的本地/異地備份與容災(zāi)體系，建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案，提高漏洞發(fā)現(xiàn)及應(yīng)急解決能力、減少高危漏洞帶來(lái)的危害。聯(lián)手產(chǎn)業(yè)鏈上下游共筑安全防線(xiàn)。信息安全已不只是企業(yè)本身所能掌控的，比如支付寶服務(wù)器故障的主因是杭州市蕭山區(qū)某地光纖被挖斷導(dǎo)致，這就需要電信運(yùn)營(yíng)商等加大對(duì)光纖光纜安全監(jiān)督。因此，互聯(lián)網(wǎng)企業(yè)應(yīng)與產(chǎn)業(yè)鏈上下游企業(yè)攜手，做到信息數(shù)據(jù)、用戶(hù)隱私、軟硬件產(chǎn)品等不同類(lèi)型的安全問(wèn)題與行業(yè)相對(duì)應(yīng)，有效防范安全管理脫節(jié)、錯(cuò)位等問(wèn)題發(fā)生。隨著互聯(lián)網(wǎng)與各行各業(yè)的深度融合，信息安全威脅事件出現(xiàn)常態(tài)化趨勢(shì)。企業(yè)應(yīng)緊密?chē)@內(nèi)部和外部環(huán)境，加大信息安全管理工作力度，有效減免信息安全危機(jī)事件。

作者:宋德王 單位:賽迪智庫(kù)電子信息產(chǎn)業(yè)研究所

篇(7)

由陳嘉庚先生創(chuàng)辦的集美大學(xué)，經(jīng)過(guò)十年網(wǎng)絡(luò)建設(shè)，終于將這塊骨頭啃下一大口。這所幾萬(wàn)人的高校，在國(guó)內(nèi)熊貓燒香病毒肆虐期間，竟然靠校園網(wǎng)全網(wǎng)安全架構(gòu)平臺(tái)的整體效能，抵擋了病毒傳播，全校網(wǎng)內(nèi)沒(méi)有發(fā)生熊貓病毒網(wǎng)內(nèi)傳播。

看起來(lái)的確神奇，究竟是一種什么樣的技術(shù)，在集美的應(yīng)用中顯示出出眾的安全防護(hù)效果？它又是如何部署應(yīng)用于復(fù)雜的校園網(wǎng)絡(luò)之中？

下面以集美大學(xué)網(wǎng)絡(luò)為例，詳細(xì)解析校園網(wǎng)絡(luò)中，GSN全局安全系統(tǒng)平臺(tái)的搭建部署秘訣。

GSN全局安全網(wǎng)絡(luò)

總體而言，GSN由銳捷安全交換機(jī)、安全客戶(hù)端、安全管理平臺(tái)、用戶(hù)認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶(hù)端、RG-WALL防火墻等多重網(wǎng)絡(luò)元素組成，實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過(guò)將用戶(hù)入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件的防范。

當(dāng)接入網(wǎng)絡(luò)的用戶(hù)終端發(fā)生安全攻擊事件時(shí)，安全管理平臺(tái)(RG-SMP)將針對(duì)這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全策略來(lái)處理。

當(dāng)用戶(hù)終端接入網(wǎng)絡(luò)時(shí)，銳捷安全客戶(hù)端(RG-SA)會(huì)自動(dòng)檢測(cè)終端用戶(hù)的安全狀態(tài)，一旦檢測(cè)到用戶(hù)系統(tǒng)存在安全漏洞，安全管理平臺(tái)(RG-SMP)會(huì)通過(guò)網(wǎng)絡(luò)自動(dòng)將受損用戶(hù)從網(wǎng)絡(luò)正常區(qū)域中隔離開(kāi)來(lái)，被隔離的用戶(hù)將被自動(dòng)置于系統(tǒng)修復(fù)區(qū)域。

當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為時(shí)，該行為的相關(guān)信息會(huì)被安全客戶(hù)端(RG-SA)有效捕獲，并通過(guò)E-MAIL、管理日志等方式通知管理員。同時(shí)GSN能及時(shí)的捕獲到網(wǎng)絡(luò)的環(huán)境變化，一旦檢測(cè)到網(wǎng)絡(luò)流量異常，RG-SA安全客戶(hù)端會(huì)自動(dòng)截取網(wǎng)絡(luò)流量報(bào)文進(jìn)行分析，從而有效地阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個(gè)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為產(chǎn)生的對(duì)應(yīng)安全策略會(huì)自動(dòng)匹配到系統(tǒng)當(dāng)中。在今后發(fā)生同樣的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為時(shí)，系統(tǒng)就能自動(dòng)調(diào)用相應(yīng)的安全策略來(lái)處理。

GSN全局安全系統(tǒng)部署

1.GSN系統(tǒng)組成及原理

該方案由六個(gè)組件構(gòu)成。

1) 認(rèn)證計(jì)費(fèi)管理平臺(tái)(RG-SAM)――提供用戶(hù)身份、地址、端口綁定功能，并能提供基于校園網(wǎng)特性的計(jì)費(fèi)策略；

2) 安全策略平臺(tái)(RG-SMP)――對(duì)發(fā)現(xiàn)的安全事件進(jìn)行判斷，以確定調(diào)用何種安全策略進(jìn)行處理；

3) 安全修復(fù)平臺(tái)――對(duì)于觸發(fā)安全事件的用戶(hù)，將其隔離到安全修復(fù)平臺(tái)，自動(dòng)對(duì)其進(jìn)行修復(fù)；

4) 入侵防御系統(tǒng)(IPS)――負(fù)責(zé)對(duì)全網(wǎng)的用戶(hù)行為進(jìn)行監(jiān)控和記錄，將網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)攻擊、異常流量、蠕蟲(chóng)病毒、P2P應(yīng)用等安全事件通告給安全策略平臺(tái)；

5) 安全交換機(jī)(RG-Switch)――對(duì)于安全策略平臺(tái)下發(fā)的策略進(jìn)行處理，實(shí)時(shí)對(duì)網(wǎng)絡(luò)用戶(hù)的安全事件進(jìn)行阻斷或隔離；

6) 安全客戶(hù)端(SU)――對(duì)用戶(hù)的安全行為進(jìn)行告警和提示，并能夠?qū)Π踩呗云脚_(tái)下發(fā)的補(bǔ)丁、軟件自動(dòng)安裝運(yùn)行。

該方案涉及的安全保障體系：

1) 身份認(rèn)證――用戶(hù)通過(guò)安全客戶(hù)端進(jìn)行身份認(rèn)證，以確定其在該時(shí)間段、該地點(diǎn)是否被允許接入網(wǎng)絡(luò)；

2) 身份信息同步――用戶(hù)的身份認(rèn)證信息將會(huì)從認(rèn)證計(jì)費(fèi)管理平臺(tái)同步到安全策略平臺(tái)，為整個(gè)系統(tǒng)提供基于用戶(hù)的安全策略實(shí)施和查詢(xún)；

3) 安全事件檢測(cè)――用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的流量將會(huì)被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會(huì)對(duì)用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和記錄；

4) 安全事件通告――用戶(hù)一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動(dòng)將其通告給安全策略平臺(tái)；

5) 自動(dòng)告警――安全策略平臺(tái)收到用戶(hù)的安全事件后，將根據(jù)預(yù)定策略對(duì)用戶(hù)進(jìn)行告警提示；

6) 自動(dòng)阻斷(隔離)――在告警提示的同時(shí)，系統(tǒng)將安全(阻斷、隔離)策略下發(fā)到安全交換機(jī)，安全交換機(jī)將根據(jù)下發(fā)的策略對(duì)用戶(hù)數(shù)據(jù)流進(jìn)行阻斷或?qū)τ脩?hù)進(jìn)行隔離；

7) 修復(fù)程序鏈接下發(fā)――被隔離至修復(fù)區(qū)的用戶(hù)，將能夠自動(dòng)接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接；

8) 自動(dòng)獲取并執(zhí)行修復(fù)程序――安全客戶(hù)端收到系統(tǒng)下發(fā)的修復(fù)程序連接后，將自動(dòng)下載并強(qiáng)制運(yùn)行，使用戶(hù)系統(tǒng)恢復(fù)正常。

2.校園網(wǎng)部署步驟

宿舍網(wǎng)部署

•新建宿舍網(wǎng)的部署――對(duì)于新建宿舍網(wǎng)，在接入層部署銳捷安全交換機(jī)，配合GSN管理平臺(tái)，實(shí)現(xiàn)了全部的安全管理功能。

•舊宿舍網(wǎng)改造――樓棟匯聚交換機(jī)替換為銳捷安全交換機(jī)，配合GSN管理平臺(tái)，在保護(hù)原有投資的前提下，實(shí)現(xiàn)了最緊迫的安全管理功能。

辦公網(wǎng)部署

•辦公網(wǎng)部分集中在區(qū)域匯聚交換機(jī)上進(jìn)行認(rèn)證，暫不考慮隔離、阻斷功能。這樣可最大限度地保護(hù)現(xiàn)有投資。

•通過(guò)對(duì)用戶(hù)的身份綁定，可獲得最基本的網(wǎng)絡(luò)安全保護(hù)功能。旁路IPS檢測(cè)到的安全事件，將在安全策略平臺(tái)上進(jìn)行統(tǒng)一呈現(xiàn)，系統(tǒng)將自動(dòng)對(duì)用戶(hù)進(jìn)行告警，管理人員可通過(guò)手動(dòng)方式進(jìn)行處理和審計(jì)。

公共機(jī)房部署

•新建機(jī)房――新建機(jī)房在接入層部署銳捷安全交換機(jī)，配合GSN管理平臺(tái)，可實(shí)現(xiàn)全部的安全管理功能。

•原有機(jī)房改造――為保護(hù)原有投資，在每個(gè)機(jī)房增加一臺(tái)匯聚交換機(jī)，實(shí)現(xiàn)最為緊迫的安全管理功能。

在具體到每一個(gè)用戶(hù)網(wǎng)絡(luò)的應(yīng)用環(huán)境時(shí)，還應(yīng)針對(duì)用戶(hù)網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行具體分析，將可擴(kuò)展性、網(wǎng)絡(luò)性能、可管理性等周邊因素都列入到考慮范圍之內(nèi)，在GSN架構(gòu)上進(jìn)行靈活機(jī)動(dòng)的配置，開(kāi)發(fā)出一個(gè)多層防御體系，進(jìn)一步提升GSN的適應(yīng)性。同時(shí)考慮到對(duì)用戶(hù)已有IT投資利益的保護(hù)，用戶(hù)可以分步實(shí)現(xiàn)GSN的整個(gè)架構(gòu)，從網(wǎng)絡(luò)的核心層、匯聚層或終端層面逐步采用GSN全局安全解決方案，而不影響到網(wǎng)絡(luò)系統(tǒng)的正常使用。

應(yīng)用點(diǎn)評(píng):校園網(wǎng)安全需要全局考慮

面對(duì)復(fù)雜的網(wǎng)絡(luò)安全行為，智能化是全網(wǎng)安全防護(hù)系統(tǒng)的核心。最有效的防御策略是將各種網(wǎng)絡(luò)安全防御技術(shù)智能化聯(lián)動(dòng)應(yīng)用于整個(gè)網(wǎng)絡(luò)中，而不是在單點(diǎn)進(jìn)行網(wǎng)絡(luò)安全的防護(hù)部署。

集美大學(xué)網(wǎng)絡(luò)中心主任李斌奇介紹，在集美GSN校園網(wǎng)成功實(shí)施后，集美校園網(wǎng)絡(luò)整體實(shí)現(xiàn)了全網(wǎng)統(tǒng)一認(rèn)證和全局安全部署。通過(guò)GSN系統(tǒng)，從接入層就對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行安全審計(jì)，只有合法用戶(hù)和健康的計(jì)算機(jī)才能進(jìn)入校園網(wǎng)。